Olá rafael, um dos grandes problemas hoje em dia creio para muitos é a atualização do qrcode depois de um tempo no token, exemplo:

Troquei de aparelho e preciso atualizar o código ou até mesmo queria atualizar por segurança e qundo fazemos isso temos que passar pelo processo todo denovo dos 7 dias.

Uma sugestão para fazer isso com segurança e não encomodar com os 7 dias são:

Opcao 1 - Atualizar código token, nessa opção a pessoa loga no site digita número pessoal, o sistema envia um e-mail a pessoa confirma e é gerado um novo token para ela.

Opção 2 - após desativar o token a pessoa tem ate 1hr para ativar denovo e manter os benefícios.

Nas duas opções o problema seria resolvido.

Olhe com atenção, obrigado!

Boa tarde.

Ainda no assunto de token, gostaria se ao atualizar a estrutura do funcionamento, fosse disponibilizada também a chave de acesso de forma escrita além da imagem código QR. A razão seria a comodidade, pois saber a chave de acesso para alguns não é tão complicado se com o código QR em mãos. Informar a chave seria só a eliminação de uma etapa.
E o motivo de disponibilizar, seria para poder inserir o código manualmente em aplicativos de autenticação existentes no Windows.

Por exemplo, uso o autenticador da Oracle em meu computador. O carregamento da interface é bem mais rápida que as dos outros que testei no celular e computador. Nele, me é dada a opção de escanear o código QR ou digitar a chave manualmente. Como não possuo uma webcam, digitei a chave manualmente para utilizar.
Comodidade, mais uma vez uso da palavra. O aplicativo no computador me permite copiar o código para área de transferência e economizar algum tempo no acesso da conta. Creio que algo assim seja do agrado de uma parcela de pessoas.

Olá rafael, um dos grandes problemas hoje em dia creio para muitos é a atualização do qrcode depois de um tempo no token, exemplo:

Troquei de aparelho e preciso atualizar o código ou até mesmo queria atualizar por segurança e qundo fazemos isso temos que passar pelo processo todo denovo dos 7 dias.

Uma sugestão para fazer isso com segurança e não encomodar com os 7 dias são:

Opcao 1 - Atualizar código token, nessa opção a pessoa loga no site digita número pessoal, o sistema envia um e-mail a pessoa confirma e é gerado um novo token para ela.

Opção 2 - após desativar o token a pessoa tem ate 1hr para ativar denovo e manter os benefícios.

Nas duas opções o problema seria resolvido.

Olhe com atenção, obrigado!

Reutilizar o código não é uma boa idéia.

Se você perdeu ou trocou de celular, o ideal é gerar um novo código para ter maior segurança.

Agora atualizar o token, teria que ser muito bem pensado para evitar abrir alguma brecha.
Vou considerar algo...


Boa tarde.

Ainda no assunto de token, gostaria se ao atualizar a estrutura do funcionamento, fosse disponibilizada também a chave de acesso de forma escrita além da imagem código QR. A razão seria a comodidade, pois saber a chave de acesso para alguns não é tão complicado se com o código QR em mãos. Informar a chave seria só a eliminação de uma etapa.
E o motivo de disponibilizar, seria para poder inserir o código manualmente em aplicativos de autenticação existentes no Windows.

Por exemplo, uso o autenticador da Oracle em meu computador. O carregamento da interface é bem mais rápida que as dos outros que testei no celular e computador. Nele, me é dada a opção de escanear o código QR ou digitar a chave manualmente. Como não possuo uma webcam, digitei a chave manualmente para utilizar.
Comodidade, mais uma vez uso da palavra. O aplicativo no computador me permite copiar o código para área de transferência e economizar algum tempo no acesso da conta. Creio que algo assim seja do agrado de uma parcela de pessoas.

Se você realmente quer a chave, basta olhar no código fonte de página enquanto o QR Code é exibido.

Se o seu computador estiver comprometido por um keylogger, provavelmente ele estará copiando seus códigos junto com o restante que você digita.
Talvez seja ó uma questão de adaptar o vírus para roubar as chaves de autenticação dos programas de TOTP mais populares. Isso, claro, se o vírus já não fizer.

O objetivo do 2FA é justamente aumentar a segurança.
Quando você usa um dispositivo externo para gerar o token, esse tipo de ataque fica mais difícil de acontecer.

Basicamente é aquela velha história da gali-nha e colocar todos os ovos na mesma cesta.

[]'s

Boa noite.

[...]
Se você realmente quer a chave, basta olhar no código fonte de página enquanto o QR Code é exibido.

Se o seu computador estiver comprometido por um keylogger, provavelmente ele estará copiando seus códigos junto com o restante que você digita.
Talvez seja ó uma questão de adaptar o vírus para roubar as chaves de autenticação dos programas de TOTP mais populares. Isso, claro, se o vírus já não fizer.

O objetivo do 2FA é justamente aumentar a segurança.
Quando você usa um dispositivo externo para gerar o token, esse tipo de ataque fica mais difícil de acontecer.

Basicamente é aquela velha história da gali-nha e colocar todos os ovos na mesma cesta.

[]'s
Eu realmente não prestei atenção no código fonte da página, a etapa que usei não necessitou visualizar linhas desnecessárias.
Ciente que a autenticação de dois fatores é um mecanismo para buscar aumentar a segurança. Ciente também de que:

6.9 - A segurança do lado do usuário quem faz é ele mesmo.
https://forum.mucabrasil.com.br/threads/2

De todo modo, se o meu computador estiver comprometido por um keylogger, provavelmente eu deveria me preocupar mais é com as minhas contas em banco. Mas digamos que eu me preocupe mais com a minha conta do MU, ao qual a segurança estará mais do que comprometida. Não a partir do ponto que o código do token poderá ser copiado, mas a partir do momento que inseri meu usuário e senha da conta de e-mail, no site do provedor, para confirmar a ativação do token. Perdi meu e-mail? Perdi a minha conta e tudo nela.
Nesse caso, não faz diferença deixar a chave e o cofre no mesmo lugar desde o começo.

A possibilidade de o meu computador possuir keylogger foi usada meramente para exemplificar, posso garantir que nele não há.
Posso também garantir que não faço parte do grupo de risco que procura por programas duvidosos para jogos, por exemplo o MU.
Posso garantir também que nunca passei, recebi ou receberei nenhum keylogger por esse motivo.
Assim como também posso garantir que não me preocupo nem um pouco com as pessoas que por ventura tenham o acesso à suas contas restringidas devido ao motivo de buscar por programas escusos para obtenção de vantagens.

rafael seria possível então diminuir os dias dos benefícios após pedir o token?

bau com 1 segundo é vida, ter que esperar 1 semana é sad :/

Boa noite.

Eu realmente não prestei atenção no código fonte da página, a etapa que usei não necessitou visualizar linhas desnecessárias.
Ciente que a autenticação de dois fatores é um mecanismo para buscar aumentar a segurança. Ciente também de que:

https://forum.mucabrasil.com.br/threads/2

De todo modo, se o meu computador estiver comprometido por um keylogger, provavelmente eu deveria me preocupar mais é com as minhas contas em banco. Mas digamos que eu me preocupe mais com a minha conta do MU, ao qual a segurança estará mais do que comprometida. Não a partir do ponto que o código do token poderá ser copiado, mas a partir do momento que inseri meu usuário e senha da conta de e-mail, no site do provedor, para confirmar a ativação do token. Perdi meu e-mail? Perdi a minha conta e tudo nela.
Nesse caso, não faz diferença deixar a chave e o cofre no mesmo lugar desde o começo.

A possibilidade de o meu computador possuir keylogger foi usada meramente para exemplificar, posso garantir que nele não há.
Posso também garantir que não faço parte do grupo de risco que procura por programas duvidosos para jogos, por exemplo o MU.
Posso garantir também que nunca passei, recebi ou receberei nenhum keylogger por esse motivo.
Assim como também posso garantir que não me preocupo nem um pouco com as pessoas que por ventura tenham o acesso à suas contas restringidas devido ao motivo de buscar por programas escusos para obtenção de vantagens.

Pelo seu tom eu acho que você se sentiu um pouco ressentido com a minha resposta...

A "chave de acesso" eu realmente não deixei explicitamente visível por vontade própria. A minha intenção/preferência é que as pessoas usem o celular pra ativar.
Obviamente é impossível controlar tal cenário e por isso se usuários mais avançados quiserem se aventurar, podem fazer como eu falei para você: basta olhar o código fonte da página referente a imagem do qr code.

A dica que eu passei se aplica em geral, seja para MU, banco ou qualquer outra coisa que contenha informações sensíveis.
É melhor prevenir do que remediar, não acha?

Se você é um usuário avançado, sabia que nem todo usuário possui o mesmo conhecimento técnico.


Não a partir do ponto que o código do token poderá ser copiado, mas a partir do momento que inseri meu usuário e senha da conta de e-mail, no site do provedor, para confirmar a ativação do token. Perdi meu e-mail? Perdi a minha conta e tudo nela.
Nesse caso, não faz diferença deixar a chave e o cofre no mesmo lugar desde o começo.

Não necessariamente, basta você ter 2FA no seu email também que ajuda a mitigar esse problema.


A possibilidade de o meu computador possuir keylogger foi usada meramente para exemplificar, posso garantir que nele não há.
Posso também garantir que não faço parte do grupo de risco que procura por programas duvidosos para jogos, por exemplo o MU.
Posso garantir também que nunca passei, recebi ou receberei nenhum keylogger por esse motivo.
Assim como também posso garantir que não me preocupo nem um pouco com as pessoas que por ventura tenham o acesso à suas contas restringidas devido ao motivo de buscar por programas escusos para obtenção de vantagens.

Sim, foi um mero exemplo.
Eu também não posso me responsabilizar por quem não se preocupa com a própria segurança.

Justamente por isso, deixei as dicas aqui no fórum de modo geral para quem possa ler no futuro.

Fique tranquilo que a resposta não foi nada diretamente direcionada à você. Trata-se apenas de uma orientação geral.

[]'s

Boa noite.

Pelo seu tom eu acho que você se sentiu um pouco ressentido com a minha resposta...
De forma alguma, é um equívoco muito comum ocasionado pelo meu modo áspero e comumente seco de escrever.

A "chave de acesso" eu realmente não deixei explicitamente visível por vontade própria. A minha intenção/preferência é que as pessoas usem o celular pra ativar.
Obviamente é impossível controlar tal cenário e por isso se usuários mais avançados quiserem se aventurar, podem fazer como eu falei para você: basta olhar o código fonte da página referente a imagem do qr code.
Eu entendi a intenção. Não é visando a comodidade, mas sim um possível nível a mais de segurança.
Nesse caso eu prefiro a comodidade por razões óbvias. Quando vou jogar, sempre sei onde está o computador.
Além de é claro a responsabilidade da segurança do meu lado enquanto usuário ser única e exclusivamente minha.

A dica que eu passei se aplica em geral, seja para MU, banco ou qualquer outra coisa que contenha informações sensíveis.
É melhor prevenir do que remediar, não acha?
Fostes cirúrgico. Concordo plenamente, é melhor prevenir. Tanto que as minhas contas em banco sequer são autorizadas a efetuarem transações por meio online, mesmo sendo seguro, o exemplo utilizado foi fictício visando continuidade do cenário sugerido.

Se você é um usuário avançado, sabia que nem todo usuário possui o mesmo conhecimento técnico.
Sim, é um motivo do pedido. Mostrar aos demais informações úteis que não estão facilmente acessíveis para eles.


Não necessariamente, basta você ter 2FA no seu email também que ajuda a mitigar esse problema.
Foi um mero exemplo, visando uma teórica maioria, que definitivamente não usa 2FA pois não há bonificações em recursos nesse caso. (e-mail)


Sim, foi um mero exemplo.
Eu também não posso me responsabilizar por quem não se preocupa com a própria segurança.

Justamente por isso, deixei as dicas aqui no fórum de modo geral para quem possa ler no futuro.

Fique tranquilo que a resposta não foi nada diretamente direcionada à você. Trata-se apenas de uma orientação geral.

[]'s
:applause::applause::applause::applause::applause:

E de fato não é sua responsabilidade se indivíduo A, B ou C pega um keylogger.
Principalmente se este for proveniente da procura por programas duvidosos com intuito de trapaças.
Vejo até como uma seleção natural, deixaria o servidor mais limpo.